Pourquoi il faut se méfier des attaques par USB dans l’industrie | Stormshield

La clé USB pour l’industrie, c’est tout un paradoxe. Elle joue à la fois un rôle de premier plan dans le fonctionnement d’environnements opérationnels, mais peut se rendre responsable d’incidents en cas de mauvaise gestion. Elle représente aussi l’un des vecteurs d’attaques les plus convoités par les cyber-criminels. Point de situation sur le rôle ambivalent de la clé USB dans l’univers industriel. Entre nécessité et efficacité opérationnelles, et danger intentionnel ou accidentel.

Usines, sites de production, automates… même relativement bien isolé, le monde industriel et ses réseaux opérationnels doivent composer avec cette menace USB. Une menace que l'on aura tendance à imaginer malveillante, mais qui pourra également s'avérer fortuite. En effet, la crainte de certains RSSI industriels résidera davantage dans l'introduction accidentelle de malware pouvant mettre à mal la ligne de production – via la clé USB d'un collaborateur par exemple, utilisée au préalable dans un cadre personnel. Difficile de jeter la pierre à un individu qui aurait seulement copié un fichier a priori anodin sur sa clé. Et pourtant…

Mais alors, l’industrie doit-elle se séparer des clés USB ? Cela est-il envisageable pour toutes les branches de ce secteur ? Les clés USB peuvent-elles être remplacées par des solutions alternatives qui conviendraient aux infrastructures opérationnelles ? Comment garantir la sécurité informatique d’un site sans alourdir ou mettre à l’arrêt une production ? La liste de questions est longue, et les problématiques inhérentes à l’industrie bien réelles. Éclairage.

 

Une clé USB indispensable au monde de l’OT

Durant toutes ces années où les machines et les postes de l’OT n’étaient pas connectés à Internet, la clé USB a représenté le moyen privilégié, voire unique, d’échanger des données. Par ailleurs, l’industrie a aussi longtemps considéré que le risque d’attaques cyber proviendrait du réseau informatique (Internet) plutôt que de périphériques physiques. La clé USB a donc une valeur historique dans l’OT qui, de plus, évolue et se transforme à moindre vitesse que le monde de l’IT. « L’OT, c’est la vue du bas, avec un contexte applicatif qui ne doit surtout pas être mis à l’arrêt ou freiné. Il y a donc un paradigme inversé dans l’industrie par rapport aux autres secteurs : on privilégie la continuité et la fluidité au détriment de la sécurité. On préfère prendre le risque d’utiliser des clés USB, plutôt que de prendre le risque de voir une production bloquée », précise Thierry Hernandez, Global Account Manager chez Stormshield.

Dans l’industrie, on préfère prendre le risque d’utiliser des clés USB, plutôt que de prendre le risque de voir une production bloquée

Thierry Hernandez, Global Account Manager Stormshield

De plus, il existe un fonctionnement inhérent au monde de l’industrie : les intervenants en charge de la maintenance des sites industriels (automates, capteurs, etc.) sont des prestataires externes, qui n’ont pas toujours la possibilité de se connecter au réseau. Les supports USB – dont les clés – sont indispensables pour ces intégrateurs, qui les utilisent pour toutes sortes d’opérations comme l’installation de mises à jour ou la récupération de sauvegardes ou backups. En revanche, rien ne garantit à un site industriel que ce type d’actions opérées par des sociétés tierces respecte le même niveau de rigueur en matière de sécurité que l’entreprise elle-même, ce qui peut engendrer un risque.

Pourtant, se passer des clés USB et de ce mode de fonctionnement dans l’OT peut s’avérer particulièrement complexe, en fonction du type d’industrie. Dans l’industrie dite « lourde » (agro-alimentaire, sidérurgie, eau, chimie…), les postes et les machines sont très peu connectés et pour pouvoir intervenir sur chaque poste directement, les clés USB deviennent essentielles. Mais au caractère pratique de ces périphériques USB s’ajoute donc un vecteur de contamination redoutable…

 

Une clé USB comme vecteur de malwares

Par essence, la clé USB permet d’échanger n’importe quelles données et apporte des éléments inconnus sur un réseau. Des éléments sensibles notamment au sein d’un site industriel. À cela s’ajoute le fait que la clé USB ne passe pas par l’ensemble des défenses périmétriques d’une structure, et arrive directement sur le poste d’un utilisateur. « Il peut y avoir n’importe quoi sur une clé USB, et la négligence des utilisateurs, qui ne vont pas avoir le réflexe de vérifier le contenu d’une clé avant de la brancher sur une machine, est courante et dangereuse », précise Thierry Hernandez.

Il peut y avoir n’importe quoi sur une clé USB, et la négligence des utilisateurs, qui ne vont pas avoir le réflexe de vérifier le contenu d’une clé avant de la brancher sur une machine, est courante et dangereuse

Thierry Hernandez, Global Account Manager Stormshield

Avec l’avènement de l’industrie 4.0, les usines sont de plus en plus connectées, et donc de plus en plus vulnérables aux malwares. Les clés USB représentent pour les attaquants un point d’entrée pour s’insérer au sein d’un système et infecter tout ou partie d’un réseau. Blocage de la ligne de production, installation d’un programme malveillant, voire espionnage à distance ou verrouillage des données… les risques cyber sont nombreux.

Côté malveillance, les infrastructures critiques industrielles sont la cible d’attaques et selon le SANS, 56% des incidents de sécurité dont elles sont la cible seraient dus aux clés USB. De plus, les cyber-criminels redoublent d’inventivité et de créativité, et affichent au compteur de multiples formes de cyberattaques par vecteur USB dans l’univers IT. En 2005, la fonctionnalité AutoRun, prévue par Microsoft pour lancer automatiquement des programmes à la connexion d’un périphérique USB sur un poste, a fait le beurre des attaquants. Le simple branchement à un poste peut désormais occasionner l’exécution automatique d'applications ou de codes malicieux contenus dans la clé. Au début des années 2010, l’attaque par clé USB Rubber Ducky devient un moyen courant pour les cybercriminels de pirater des systèmes d’information. Même esprit avec l’attaque PHUKD (Programmable HID USB Keystroke Dongle), qui imite l’activité d’un clavier ou d’une souris. En 2014, l’exploit BadUSB fait son apparition, faille considérée comme critique pour les systèmes de contrôle industriels selon certains chercheurs. 2017 sera ensuite l’année de P4wnP1, programme conçu pour réaliser des attaques via les périphériques Raspberry Pi Zero et Raspberry Pi W. Quelques années plus tard, c’est au tour de Bash Bunny de faire son entrée. Puis, bien plus récemment, l’attaque USB Killer, permet quant à elle de crasher littéralement une machine, en quelques secondes, simplement en branchant la clé malveillante sur le poste ciblé.

Appliquées dans l’univers de l’industrie, ces méthodes d’infection ont donné lieu à de nombreux cas de cyberattaques. En 2017, une infrastructure critique au Moyen-Orient, a été la cible du malware Copperfield, distribué par une clé USB sur un poste de travail partagé par des dizaines d’employés de la structure en question. Copperfield est un Remote Access Trojan (RAT) et cible spécifiquement les industries critiques. Dès lors que la clé USB infectée est branchée sur un poste, le malware se propage, notamment en détournant le logiciel Windows Script Host pour prendre le contrôle de la machine. La même année, dans leur rapport The Guidelines on Cyber Security Onboard Ships, de multiples acteurs du secteur maritime alertent sur les risques liés aux clés USB pour leur industrie. Le rapport décortique de nombreuses cyberattaques, dont deux qui ont été rendues possibles par l’utilisation de clés USB. Une première attaque est liée à la négligence ou le manque de connaissance du personnel naviguant. En effet, l’un des membres de la sécurité d’un navire de marine marchande aurait involontairement branché une clé infectée sur le système d’information du bateau. La clé USB aurait ensuite propagé un malware au sein des systèmes, et l’équipage aurait été alerté plusieurs jours après seulement, interpellés par des comportements anormaux desdits systèmes. Autre exemple, cette fois-ci au cœur d’un système de gestion de l’énergie d’un navire. Des prestataires IT en charge des systèmes du navire y ont détecté un malware dormant. Celui-ci était inactif car le dispositif en question n’était pas encore connecté à Internet, mais il se serait propagé au sein des systèmes une fois relié au réseau. Enfin, beaucoup plus récemment, l’industrie automobile a échappé de justesse à une attaque qui aurait pu être de grande ampleur. Au mois d’août dernier, un collaborateur du groupe Tesla a été approché par un cybercriminel russe, lui proposant la modique somme d’un million de dollars pour propager un malware au sein des systèmes d’information du groupe, grâce à une clé USB infectée. Si le collaborateur n’avait pas averti le FBI et empêché cette attaque, Tesla aurait peut-être fait partie de la longue liste des victimes d’attaques par clé USB.

Le monde de l’industrie se retrouve pris entre deux eaux, avec la nécessité de conserver une activité opérationnelle soutenue et fluide, et celle de prendre en compte les risques que représente l’usage de la clé USB en entreprise.

 

Une clé USB à sécuriser ou à supprimer

Pour se prémunir et limiter les risques, certaines structures s’appuient sur des solutions logicielles afin de contrôler les clés USB, l’objectif étant de pouvoir conserver l’utilité de ces périphériques externes, tout en renforçant le contrôle des données qui sont échangées. « Il est possible d’utiliser le procédé des ‘stations blanches’ pour sécuriser l’usage de la clé USB au sein d’une entreprise, explique Adrien Brochot, Product Manager chez Stormshield. Cela revient à scanner la clé pour s’assurer qu’il n’y a pas de malware, mais aussi calculer l’empreinte de son contenu pour connaître son état actuel et la vérifier lors du branchement sur tout poste à protéger. Si cette empreinte a été modifiée, il faut alors vérifier s'il s’agit bien de changements autorisés, effectués sur un poste interne également protégé. Dans le cas contraire, l’accès est bloqué ». Contrôler les clés USB revient à en exclure certaines : dans les domaines de confiance, seules les clés USB autorisées pourront être utilisées. Pour sécuriser ces clés USB, des solutions de sécurité Endpoint peuvent être également utilisées. Dans tous les cas, s’assurer de la fiabilité d’une clé USB est particulièrement pertinent pour des postes industriels critiques, notamment ceux qui réalisent des opérations de supervision.

Certaines entreprises optent plutôt pour des politiques de sécurité avec des listes très restreintes des périphériques USB autorisés. En 2019, l’ANSSI aussi prenait à bras-le-corps le sujet épineux des clés USB, en présentant son projet open source Wookey, prévu pour renforcer la sécurité des postes, et lutter notamment contre des attaques de type BadUSB. Enfin, des structures ont tout simplement banni l’utilisation de clés pour réduire les risques d’attaques, à l’instar du groupe IBM ou de l’armée américaine.

 

L’industrie 4.0, comme alternative à la clé USB ?

En outre, une nouvelle tendance émerge aussi dans le monde de l’OT, avec, comme alternative possible à la clé USB, l’utilisation de serveurs comme dans l’IT, véritables espaces de partages de fichier ou de flux applicatifs.

Il faut forcément avoir une alternative à la clé USB avant d’envisager de la remplacer, et augmenter la capacité de connectivité d’un réseau peut être une bonne option

Fabrice Tea, Directeur Technique Transformation Digitale Schneider Electric

La clé USB est, dans certaines structures, beaucoup moins utilisée qu’auparavant, et de plus en plus de fichiers circulent par le réseau. La connectique réseau et la télémaintenance, pourraient donc être une variante intéressante à ces périphériques. « Remplacer la clé USB par des systèmes numérisés peut représenter un réel gain de temps et un vrai confort d’utilisation. Les intervenants en charge des backups de sites industriels, pourraient, par exemple, gagner 3 à 4 jours de travail par mois avec un système numérisé », étaie Fabrice Tea, Directeur Technique Transformation Digitale chez Schneider Electric, et de préciser : « Il faut forcément avoir une alternative à la clé USB avant d’envisager de la remplacer, et augmenter la capacité de connectivité d’un réseau peut être une bonne option ».

 

Point de vigilance cependant : l’approche 4.0 n’est pas généralisée dans l’industrie. Bon nombre de structures n’a pour l’instant pas cette démarche, et interconnecter des postes critiques, peut s’avérer sensible en matière de cybersécurité pour les systèmes opérationnels. En connectant les postes entre eux et – surtout – en les connectant avec l’extérieur, c’est toute la surface d’attaque des infrastructures industrielles qui augmentent. Un constat particulièrement vrai pour les petites structures, qui n’ont pas les moyens des grosses industries. Les éditeurs ont alors un rôle clé à jouer pour accompagner les organisations dans leur acculturation vers une industrie 4.0 cyber-sereine.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Pour faire face aux cyber-menaces qui pèsent sur les réseaux opérationnels (OT) et qui s’accélèrent avec le déploiement de l’industrie 4.0 (Cloud, Big Data, 5G, Internet des objets), Stormshield recommande une approche unique et globale. Avec comme objectif le bon fonctionnement des réseaux et une continuité d’activité pour tous les acteurs et leurs infrastructures critiques : énergie, transport, industrie, santé… et les autres.
En 2010, le monde découvrait Stuxnet. Un malware qui frappait alors les automates en charge des centrifugeuses d’une usine iranienne d'enrichissement d'uranium et qui mettait le doigt sur la vulnérabilité des environnements industriels. Depuis cet épisode sorti d’une petite clé USB infectée, le risque cyber s’est alors élargi à l’univers industriel dans son ensemble.
À propos de l'auteur
mm
Vincent Nicaise Responsable des partenaires et de l'écosystème industriels, Stormshield

Fort d'une déjà longue expérience pro., Vincent navigue dans l'univers cyber avec une vraie appétence commerciale, marketing et technique. Passionné de street-art, de poulpe et de cybersécurité (pas forcément dans cet ordre), il est en charge des partenariats avec l’ensemble de l’écosystème cyber industriel. Tout un programme.